Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
1. Pojęcia i zakres statycznej analizy kodu
- Definicje: statyczna analiza, SAST, kategorie zasad i poziomy ważności
- Zakres statycznej analizy w bezpiecznym SDLC i pokryciu ryzyka
- Jak SonarQube wpisuje się w kontrolę bezpieczeństwa i przepływy pracy programistów
2. Przegląd SonarQube: funkcje i architektura
- Główne usługi, baza danych i komponenty skanera
- Bariery jakości (Quality Gates), Profile Jakości (Quality Profiles) i najlepsze praktyki w zakresie Barier Jakości
- Zabezpieczenia związane z funkcjami: lukami w zabezpieczeniach, regułami SAST i mapowaniem CWE
3. Nawigacja i korzystanie z interfejsu serwera SonarQube
- Tura po interfejsie serwera: projekty, problemy, reguły, mierniki i widoki zarządzania
- Interpretacja stron z problemami, śledzenie i wskazówki do korygowania
- Opcje generowania i eksportowania raportów
4. Konfiguracja SonarScannera z narzędziami do budowy
- Konfigurowanie SonarScannera dla Maven, Gradle, Ant i MSBuild
- Najlepsze praktyki dotyczące właściwości skanera, wykluczeń i wielomodułowych projektów
- Generowanie koniecznych danych testowych i raportów pokrycia dla dokładnej analizy
5. Integracja z Azure DevOps
- Konfigurowanie połączeń usługi SonarQube w Azure DevOps
- Dodawanie zadań SonarQube do potoków Azure Pipelines i dekoracji PR
- Importowanie repozytoriów Azure Repos do SonarQube i automatyzacja analiz
6. Konfiguracja projektu i analizatory trzecich stron
- Profile Jakości na poziomie projektu i wybór zasad dla Java i Angular
- Praca z analizatorami trzecich stron i cyklem życia wtyczek
- Definiowanie parametrów analizy i dziedziczenie parametrów
7. Role, odpowiedzialności i przegląd metodologii bezpiecznego rozwoju
- Rozdział ról: programiści, recenzenci, DevOps, właściciele bezpieczeństwa
- Konstruowanie macierzy ról i odpowiedzialności dla procesów CI/CD
- Przegląd i proces rekomendacji istniejącej metodologii bezpiecznego rozwoju
8. Zaawansowane: dodawanie zasad, dostosowywanie i wzmocnianie globalnych funkcji bezpieczeństwa
- Korzystanie z API internetowego SonarQube do dodawania i zarządzania niestandardowymi zasadami
- Dostosowywanie Barier Jakości i automatycznej egzekwacji polityk
- Wzmocnianie bezpieczeństwa serwera SonarQube i najlepsze praktyki kontroli dostępu
9. Sesje laboratoriów praktycznych (zastosowane)
- Laboratorium A: Konfigurowanie SonarScannera dla 5 repozytoriów Java (Quarkus, jeśli dotyczy) i analizowanie wyników
- Laboratorium B: Konfigurowanie analizy Sonar dla 1 front-end w Angular i interpretacja ustaleń
- Laboratorium C: Pełny potok laboratorium — integracja SonarQube z potokiem Azure DevOps i włączanie dekoracji PR
10. Testowanie, rozwiązywanie problemów i interpretacja raportów
- Strategie generowania danych testowych i pomiaru pokrycia
- Częste problemy i rozwiązywanie błędów skanera, potoku i uprawnień
- Jak czytać i przedstawiać raporty SonarQube dla zaangażowanych technicznie i nietechnicznie
11. Najlepsze praktyki i rekomendacje
- Selekcja zestawów zasad i strategie inkrementalnego egzekwowania
- Zalecenia dotyczące przepływów pracy dla programistów, recenzentów i potoków budowy
- Szczegółowy plan wdrożenia SonarQube w środowiskach przedsiębiorstwowych
Podsumowanie i kolejne kroki
Wymagania
- Rozumienie cyklu życia oprogramowania
- Doświadczenie w zarządzaniu kodem źródłowym i podstawowych koncepcji CI/CD
- Znajomość środowisk programistycznych Java lub Angular
Audience
- Programiści (Java / Quarkus / Angular)
- Inżynierowie DevOps i CI/CD
- Inżynierowie bezpieczeństwa i recenzenci zabezpieczeń aplikacji
21 godzin
Opinie uczestników (1)
Zachwycający, praktyczny kurs.
Balavignesh Elumalai - Scottish Power
Szkolenie - SonarQube for DevOps
Przetłumaczone przez sztuczną inteligencję
